Материал из Википедии — свободной энциклопедии
Autorun.inf — файл, используемый для автоматического запуска приложений и программ на носителях информации в среде операционной системы Microsoft Windows (начиная с версии Windows 95). Этот файл должен находиться в корне устройства для которого осуществляется автозапуск. Файл делится на структурные элементы — блоки. Название блоков пишется в квадратных скобках. Описание блоков содержит пары параметр→значение.
Исходное предназначение
Автоматический запуск приложения позволил чрезвычайно упростить действия пользователя при установке и запуске программного обеспечения и драйверов устройств.
Защита от копирования
Кроме того, некоторые фирмы, производящие диски с аудиосодержимым, пытались применить данную технологию для защиты содержимого дисков от копирования, путём автозапуска программы, препятствующей копированию.
Безопасность
В настоящее время файл autorun.inf широко используется для распространения компьютерных вирусов через flash-накопители и сетевые диски. Для этого авторы вирусов прописывают имя исполняемого файла с вредоносным кодом в параметр open. При подключении заражённого flash-накопителя Windows запускает прописанный в параметре open файл на исполнение, в результате чего происходит заражение компьютера. Находящийся в оперативной памяти заражённого компьютера вирус периодически сканирует систему с целью поиска новых дисков, и при их обнаружении (при подключении другого flash-накопителя или сетевого диска) создаёт на них autorun.inf со ссылкой на копию своего исполняемого файла, обеспечивая таким образом своё дальнейшее распространение.
Отключение автозапуска
Групповая политика (gpedit.msc)
Настройка автозапуска в групповой политике находится в ветке:
Конфигурация компьютера - Административные шаблоны - Система.
Пункт определяющий поведение системы «Отключить автозапуск» имеет три значения: не задан, включён, отключен. Задание значения «включён» позволяет выбрать тип дисков:
* CD-дисководы (включает: неизвестные, CD, сетевые и съёмные диски),
* все дисководы.
Реестр (ветвь HKCU), Policies
За включение и отключение автозапуска для разных типов носителей отвечает ключ реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
Возможные значения данного ключа:
* 0x01 (DRIVE_UNKNOWN) — отключить автозапуск на приводах неизвестных типов (тип которого не может быть определён)
* 0x02 (DRIVE_NO_ROOT_DIR) — отключить автозапуск на дисках которым не назначена буква (не примонтированных в корень)
* 0x04 (DRIVE_REMOVABLE) — отключить автозапуск съёмных устройств (дискеты, флешки)
* 0x08 (DRIVE_FIXED) — отключить автозапуск НЕсъемных устройств (жёсткий диск)
* 0x10 (DRIVE_REMOTE) — отключить автозапуск сетевых дисков
* 0x20 (DRIVE_CDROM) — отключить автозапуск CD-приводов
* 0x40 (DRIVE_RAMDISK) — отключить автозапуск на виртуальном диске (RAM-диск)
* 0x80 (DRIVE_FUTURE) — отключить автозапуск на приводах неизвестных типов (будущие типы устройств)
* 0xFF — отключить автозапуск вообще всех дисков.
Значения могут комбинироваться суммированием их числовых значений.
Допустимые значения ключа NoDriveTypeAutoRun, описаны в KB967715.
Следует отметить, что запрет автозапуска при помощи вышеприведённого ключа реестра не устраняет опасности заражения компьютера. Это связано с тем, что значение ключа влияет только на исполнение autorun.inf при определении системой подключеного носителя, но не запрещает исполнение при двойном клике на значке носителя. Таким образом, даже если функция автозапуска отключена, заражение происходит при попытке пользователя открыть подключённый диск для просмотра. Компания Microsoft выпустила исправление, описанное в KB967715, полностью решающее данную проблему.
Реестр (ветвь HKLM), Подмена autorun.inf файла
Альтернативный, более радикальный, способ запрета обработки autorun.inf:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
По сути он подменяет содержимое файла autorun.inf значением из реестра, которое нарочно задаётся пустым/неверным. Это приводит к тому, что если на диске и есть файл autorun.inf, то он воспринимается как пустой.
Указанный способ следует считать самым надёжным. Простой способ его использования заключается в создании соответствующего reg-файла, запускаемого на компьютере
Реестр (ветвь HKLM), Запрет автостарта всех типов файлов
Возможное решение запрета автостарта всех типов файлов (только автостарт! обработка двойного клика и контекстного меню будет произведена)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Отключение посредством стороннего ПО Panda USB and Autorun Vaccine
Для перманентного отключения автозапуска с usb-устройств и локальных дисков можно использовать программу Panda USB and Autorun Vaccine. Программа по запросу создаёт на flash-накопителе файл пустой autorun.inf, запрещённый к удалению, редактированию либо перемещению. Таким образом устройство становится защищённым от проникновения помещающих вредоносный код в файл autorun.inf. Программа работает с файловой системой FAT/FAT32. В тестовом режиме поддерживает NTFS. Для защиты локальных дисков, а также защиты их от заражения вирусами Panda USB and Autorun Vaccine использует вышеуказанный способ внесения правок в системный реестр Windows.
Создание неудаляющейся папки autorun.inf
Через autorun.inf все вирусы, которые есть на носителе, запускаются и переходят на компьютер. Для того чтобы вирусы не переходили на компьютер или, другими словами, не запускались, необходимо создать неудаляющуюся папку autorun.inf(Для системы папка и файл это практически одно и то же). Неудаляющуюся папку нужно создавать потому, что "интеллектуальные" вирусы, видя, что autorun.inf уже существует, удаляют его и записывают свой autorun.inf. Для этого нужно войти в командную строку, перейти в папку autorun.inf на носителе и вписать следующий текст: md name..\ и нажать Enter. После это папку autorun.inf невозможно будет удалить. Она удалиться только форматированием.
Autorun.inf — файл, используемый для автоматического запуска приложений и программ на носителях информации в среде операционной системы Microsoft Windows (начиная с версии Windows 95). Этот файл должен находиться в корне устройства для которого осуществляется автозапуск. Файл делится на структурные элементы — блоки. Название блоков пишется в квадратных скобках. Описание блоков содержит пары параметр→значение.
Исходное предназначение
Автоматический запуск приложения позволил чрезвычайно упростить действия пользователя при установке и запуске программного обеспечения и драйверов устройств.
Защита от копирования
Кроме того, некоторые фирмы, производящие диски с аудиосодержимым, пытались применить данную технологию для защиты содержимого дисков от копирования, путём автозапуска программы, препятствующей копированию.
Безопасность
В настоящее время файл autorun.inf широко используется для распространения компьютерных вирусов через flash-накопители и сетевые диски. Для этого авторы вирусов прописывают имя исполняемого файла с вредоносным кодом в параметр open. При подключении заражённого flash-накопителя Windows запускает прописанный в параметре open файл на исполнение, в результате чего происходит заражение компьютера. Находящийся в оперативной памяти заражённого компьютера вирус периодически сканирует систему с целью поиска новых дисков, и при их обнаружении (при подключении другого flash-накопителя или сетевого диска) создаёт на них autorun.inf со ссылкой на копию своего исполняемого файла, обеспечивая таким образом своё дальнейшее распространение.
Отключение автозапуска
Групповая политика (gpedit.msc)
Настройка автозапуска в групповой политике находится в ветке:
Конфигурация компьютера - Административные шаблоны - Система.
Пункт определяющий поведение системы «Отключить автозапуск» имеет три значения: не задан, включён, отключен. Задание значения «включён» позволяет выбрать тип дисков:
* CD-дисководы (включает: неизвестные, CD, сетевые и съёмные диски),
* все дисководы.
Реестр (ветвь HKCU), Policies
За включение и отключение автозапуска для разных типов носителей отвечает ключ реестра:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
Возможные значения данного ключа:
* 0x01 (DRIVE_UNKNOWN) — отключить автозапуск на приводах неизвестных типов (тип которого не может быть определён)
* 0x02 (DRIVE_NO_ROOT_DIR) — отключить автозапуск на дисках которым не назначена буква (не примонтированных в корень)
* 0x04 (DRIVE_REMOVABLE) — отключить автозапуск съёмных устройств (дискеты, флешки)
* 0x08 (DRIVE_FIXED) — отключить автозапуск НЕсъемных устройств (жёсткий диск)
* 0x10 (DRIVE_REMOTE) — отключить автозапуск сетевых дисков
* 0x20 (DRIVE_CDROM) — отключить автозапуск CD-приводов
* 0x40 (DRIVE_RAMDISK) — отключить автозапуск на виртуальном диске (RAM-диск)
* 0x80 (DRIVE_FUTURE) — отключить автозапуск на приводах неизвестных типов (будущие типы устройств)
* 0xFF — отключить автозапуск вообще всех дисков.
Значения могут комбинироваться суммированием их числовых значений.
Допустимые значения ключа NoDriveTypeAutoRun, описаны в KB967715.
Следует отметить, что запрет автозапуска при помощи вышеприведённого ключа реестра не устраняет опасности заражения компьютера. Это связано с тем, что значение ключа влияет только на исполнение autorun.inf при определении системой подключеного носителя, но не запрещает исполнение при двойном клике на значке носителя. Таким образом, даже если функция автозапуска отключена, заражение происходит при попытке пользователя открыть подключённый диск для просмотра. Компания Microsoft выпустила исправление, описанное в KB967715, полностью решающее данную проблему.
Реестр (ветвь HKLM), Подмена autorun.inf файла
Альтернативный, более радикальный, способ запрета обработки autorun.inf:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
По сути он подменяет содержимое файла autorun.inf значением из реестра, которое нарочно задаётся пустым/неверным. Это приводит к тому, что если на диске и есть файл autorun.inf, то он воспринимается как пустой.
Указанный способ следует считать самым надёжным. Простой способ его использования заключается в создании соответствующего reg-файла, запускаемого на компьютере
Реестр (ветвь HKLM), Запрет автостарта всех типов файлов
Возможное решение запрета автостарта всех типов файлов (только автостарт! обработка двойного клика и контекстного меню будет произведена)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Отключение посредством стороннего ПО Panda USB and Autorun Vaccine
Для перманентного отключения автозапуска с usb-устройств и локальных дисков можно использовать программу Panda USB and Autorun Vaccine. Программа по запросу создаёт на flash-накопителе файл пустой autorun.inf, запрещённый к удалению, редактированию либо перемещению. Таким образом устройство становится защищённым от проникновения помещающих вредоносный код в файл autorun.inf. Программа работает с файловой системой FAT/FAT32. В тестовом режиме поддерживает NTFS. Для защиты локальных дисков, а также защиты их от заражения вирусами Panda USB and Autorun Vaccine использует вышеуказанный способ внесения правок в системный реестр Windows.
Создание неудаляющейся папки autorun.inf
Через autorun.inf все вирусы, которые есть на носителе, запускаются и переходят на компьютер. Для того чтобы вирусы не переходили на компьютер или, другими словами, не запускались, необходимо создать неудаляющуюся папку autorun.inf(Для системы папка и файл это практически одно и то же). Неудаляющуюся папку нужно создавать потому, что "интеллектуальные" вирусы, видя, что autorun.inf уже существует, удаляют его и записывают свой autorun.inf. Для этого нужно войти в командную строку, перейти в папку autorun.inf на носителе и вписать следующий текст: md name..\ и нажать Enter. После это папку autorun.inf невозможно будет удалить. Она удалиться только форматированием.
Комментарии
Отправить комментарий